Una falla nella
sicurezza di Twitter mette a rischio gli account. L'ha scoperto Daniel
Dennis Jones, un utente che sabato si è accorto che il suo account @blanket era
stato compromesso: la password era stata
cambiata a sua insaputa, l'account era in vendita per cento dollari e al
suo posto ce n'era uno @FuckMyAssHoleLO.
Allarme sicurezza per Twitter: c'è una falla nel sistema di autenticazione
Jones ha indagato per capire cosa fosse successo e ha pubblicato
un lungo post
sul suo blog in cui spiega che la colpa di quanto accaduto è da ricondurre a
una falla nel sistema di sicurezza del social network, che si limita a restringere i tentativi di login legati allo stesso
indirizzo IP. Un hacker che ha la possibilità di sfruttare più indirizzi IP
può sferrare un attacco brute force e cercare di forzare l'accesso agli account con tentativi virtualmente illimitati.
Questo non accadrebbe, accusa l'utente, se Twitter bloccasse
l'accesso dopo un determinato numero di tentativi, o se fosse previsto un sistema di autenticazione in due step come per
esempio quello implementato nei servizi di Google.
La conclusione di Jones è che l'hacker che ha preso di mira
il suo account ha "usato un programma che tenta ripetutamente di
effettuare il login con password comuni" fino a quando non è riuscito a
violare l'account. A quel punto ha messo in vendita l'account sul sito ForumKorner,
da cui Jones è riuscito poi a riaverlo.
La brutta avventura insomma si è risolta bene, ma il caso ha
alzato un polverone sul tema della sicurezza dei social network, in cui sono
puntualmente intervenuti gli esperti in materia. Jeremiah Grossman, CTO e
co-fondatore dell'azienda Whitehat specializzata in sicurezza, ha spiegato a Cnet
che il regime di sicurezza di Twitter probabilmente non è molto diverso da quello di molti altri siti. Una valutazione allarmante,
a cui c'è solo un rimedio: "il modo migliore per difendersi è quello di scegliere una password davvero difficile da
indovinare, che non si azzecchi nemmeno con un milione di tentativi"
ha concluso Grossman.